c2WTS(Windows 토큰 서비스에 대한 클레임) 및 Reporting ServicesClaims to Windows Token Service (c2WTS) and Reporting Services

이 항목은 다음에 적용됩니다.예SQL Server 2016아니요Power BI 보고서 서버THIS TOPIC APPLIES TO:yesSQL Server 2016noPower BI Report Server 예SharePoint 통합 모드SharePoint integrated mode 예SharePoint 통합 모드SharePoint integrated mode

SharePoint 팜 외부에 있는 데이터 원본에 대해 Windows 인증을 사용하려면 Reporting ServicesReporting Services SharePoint 모드에서 SharePoint c2WTS(Windows 토큰 서비스에 대한 클레임)를 사용해야 합니다.The SharePoint Claims to Windows Token Service (c2WTS) is required with Reporting ServicesReporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. 사용자가 Windows 인증을 사용하여 데이터 원본에 액세스하는 경우에도 WFE(웹 프런트 엔드)와 Reporting ServicesReporting Services 공유 서비스 간의 통신은 항상 클레임 인증으로 수행되기 때문에 SharePoint c2WTS가 필요합니다.This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting ServicesReporting Services shared service will always be Claims Authentication.

데이터 원본이 공유 서비스와 동일한 컴퓨터에 있더라도 c2WTS가 필요합니다.c2WTS is needed even if your data source(s) are on the same computer as the shared service. 하지만 이 경우에는 제한된 위임이 필요하지 않습니다.However in this scenario, constrained delegation is not needed.

c2WTS에서 만들어진 토큰은 제한된 위임(특정 서비스로 제한됨)과 "모든 인증 프로토콜 사용" 구성 옵션에서만 작동합니다.The tokens created by c2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol". 앞에서 설명한 것처럼 데이터 원본이 공유 서비스와 동일한 컴퓨터에 있으면 제한된 위임이 필요하지 않습니다.As noted earlier, if your data sources are on the same computer as the shared service, then constrained delegation is not needed.

사용자 환경에서 Kerberos 제한된 위임을 사용하는 경우 SharePoint Server 서비스와 외부 데이터 원본이 동일한 Windows 도메인에 있어야 합니다.If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. c2WTS(Windows 토큰 서비스에 대한 클레임)를 사용하는 서비스는 c2WTS에서 Kerberos 프로토콜 전환을 사용하여 클레임을 Windows 자격 증명으로 변환할 수 있도록 Kerberos 제한된 위임을 사용해야 합니다.Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. 이러한 요구 사항은 모든 SharePoint 공유 서비스에 적용됩니다.These requirements are true for all SharePoint Shared Services. 자세한 내용은 SharePoint 2013에서 Kerberos 인증 계획을 참조하세요.For more information, see Plan for Kerberos authentication in SharePoint 2013.

이 항목에 절차가 요약되어 있습니다.The procedure is summarized in this topic.

필수 구성 요소Prerequisites

참고

참고: 일부 구성 단계는 특정 팜 토폴로지에 따라 변경될 수 있으며 작동하지 않을 수도 있습니다.Note: Some of the configuration steps may change, or may not work in certain farm topologies. 예를 들어 단일 서버 설치에는 Windows Identity Foundation c2WTS 서비스가 지원되지 않으므로 이 팜 구성에서는 Windows 토큰 위임에 대한 클레임 시나리오가 가능하지 않습니다.For instance, a single server install does not support the Windows Identity Foundation c2WTS services so claims to windows token delegation scenarios are not possible with this farm configuration.

중요

파워 뷰를 사용하여 파워 피벗 통합 문서에 대해 작업하는 경우 Office Online Server 개요에 대한 추가 구성을 수행해야 합니다.If you are using Power View to work against Power Pivot workbooks, you will need to do additional configuration for Office Online Server overview. 자세한 내용은 다음 백서를 참조하세요.For more information, see the following white papers.

c2WTS를 구성하기 위해 필요한 기본 단계Basic steps needed to configure c2WTS

  1. c2WTS 서비스 계정을 구성합니다.Configure the c2WTS service account. c2WTS를 실행하는 각 응용 프로그램 서버의 로컬 관리자 그룹에 서비스 계정을 추가합니다.Add the service account to the local Administrators group on each application server running c2WTS. 또한 계정에 다음과 같은 로컬 보안 정책 권한이 있는지 확인합니다.In addition, verify that the account has the following local security policy rights:

    • 운영 체제의 일부로 작동Act as part of the operating system

    • 인증 후 클라이언트 가장Impersonate a client after authentication

    • 서비스로 로그온Log on as a service

  2. c2WTS 서비스 계정에 대한 위임을 구성합니다.Configure delegation for the c2WTS service account. 계정에 대해 프로토콜 전환을 포함하는 제한된 위임을 구성해야 합니다. 또한 이 계정에는 통신해야 하는 서비스(예: SQL Server Engine, SQL Server Analysis Services)에 대한 위임 권한이 있어야 합니다.The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Engine, SQL Server Analysis Services). 위임을 구성하려는 경우 Active Directory 사용자 및 컴퓨터 스냅인을 사용할 수 있습니다.To configure delegation you can use the Active Directory Users and Computer snap-in.

    중요

    위임 탭에서 C2WTS 서비스 계정에 대해 어떤 설정을 구성하든 간에 Reporting Services 서비스 계정과 일치해야 합니다.Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the Reporting Services Service account. 예를 들어 C2WTS 서비스 계정이 SQL 서비스에 위임할 수 있게 하는 경우 Reporting Services 서비스 계정에 대해서도 동일한 작업을 수행해야 합니다.For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account.

    1. 각 서비스 계정을 마우스 오른쪽 단추로 클릭하고 속성 대화 상자를 엽니다.Right-click each service account and open the properties dialog. 대화 상자에서 위임 탭을 클릭합니다.In the dialog click the Delegation tab.

      참고

      참고: 개체에 SPN(서비스 사용자 이름)이 할당된 경우에만 위임 탭이 표시됩니다.Note: the delegation tab is only visible if the object has a Service Prinicpal Name (SPN) assigned to it. c2WTS does not require an SPN on the c2WTS Account, however, without an SPN, the 위임 탭이 표시되지 않습니다.c2WTS does not require an SPN on the c2WTS Account, however, without an SPN, the Delegation tab will not be visible. 제한된 위임을 구성하는 다른 방법으로는 ADSIEdit와 같은 유틸리티를 사용할 수 있습니다.An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    2. 위임 탭에 대한 키 구성 옵션은 다음과 같습니다.Key configuration options on the delegation tab are the following:

      • "지정한 서비스에 대한 위임용으로만 이 사용자 트러스트" 선택Select “Trust this user for delegation to specified services only”

      • "모든 인증 프로토콜 사용" 선택Select “Use any authentication protocol”

    3. 추가 를 선택하여 위임할 서비스를 추가합니다.Select Add to add a service to delegate to.

    4. 선택 사용자 또는 컴퓨터... 는 서비스를 호스트 하는 계정을 입력 합니다.Select **Users or Computers...** and enter the account that hosts the service. 예를 들어, SQL Server 명명 된 계정에서 실행 중인 경우 sqlservice, 입력 sqlservice합니다.For example, if a SQL Server is running under an account named sqlservice, enter sqlservice.

    5. 서비스 목록을 선택합니다.Select the service listing. 해당 계정에서 사용할 수 있는 SPN이 표시됩니다.This will show the SPNs that are available on that account. 해당 계정에 서비스가 표시되지 않는 경우 누락되었거나 다른 계정에 배치되었을 수 있습니다.If you don't see the service listed on that account, it may be missing or placed on a different account. SetSPN 유틸리티를 사용하여 SPN을 조정할 수 있습니다.you can use the SetSPN utility to adjust SPNs.

    6. 확인을 선택하여 대화 상자를 종료합니다.Select OK to get out of the dialogs.

  3. c2WTS 'AllowedCallers' 구성Configure c2WTS ‘AllowedCallers’

    c2WTS에는 구성 파일 c2WTShost.exe.config에 명시적으로 나열된 'callers' ID가 필요합니다.c2WTS requires the ‘callers’ identities explicitly listed in the configuration file, c2WTShost.exe.config. c2WTS는 특별히 구성되지 않은 한 시스템의 모든 인증된 사용자로부터의 요청을 허용하지 않습니다.c2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. 이 경우 'caller'는 WSS_WPG Windows 그룹입니다.In this case the ‘caller’ is the WSS_WPG Windows group. c2WTShost.exe.config 파일은 다음 위치에 저장됩니다.The c2WTShost.exe.confi file is saved in the following location:

    참고

    SharePoint 중앙 관리 내에서 C2WTS 서비스에 대한 서비스 계정을 변경하면 WSS_WPG 그룹에 해당 계정이 추가됩니다.Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    다음은 구성 파일의 예입니다.The following is an example of the configuration file:

    <configuration>  
      <windowsTokenService>  
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->  
        <allowedCallers>  
          <clear/>  
          <add value="WSS_WPG" />  
        </allowedCallers>  
      </windowsTokenService>  
    </configuration>  
    
  4. SharePoint 'Windows 토큰 서비스에 대한 클레임' 시작: 서버의 서비스 관리 페이지에서 SharePoint 중앙 관리를 통해 Windows 토큰 서비스에 대한 클레임을 시작합니다.Start the SharePoint ‘Claims to Windows Token Service’: Start the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. 서비스는 동작을 수행하는 서버에서 시작되어야 합니다.The service should be started on the server that will be performing the action. 예를 들어 WFE인 서버와 Reporting ServicesReporting Services 공유 서비스가 실행되는 응용 프로그램 서버인 다른 서버가 있는 경우 응용 프로그램 서버에서만 c2WTS를 시작하면 됩니다.For example if you have a server that is a WFE and another server that is an Application Server that has the Reporting ServicesReporting Services shared service running, you only need to start c2WTS on the Application Server. WFE에는 c2WTS가 필요하지 않습니다.c2WTS is not needed on the WFE.

다음 단계Next steps

C2WTS(Windows 토큰 서비스에 대한 클레임) 개요 Claims to Windows Token Service (c2WTS) Overview
SharePoint 2013에서 Kerberos 인증 계획Plan for Kerberos authentication in SharePoint 2013

문의:More questions? Reporting Services 포럼에서 질문Try asking the Reporting Services forum